
NIS2 Richtlinie – für die Sicherheit von Netzwerk- und Informationssystemen
NIS2 ist eine zweite Iteration einer Richtlinie der EU, die sich mit der Network & Information Security beschäftigt. Hierzu wird von der EU vorgegeben, dass betroffene Unternehmen einen angemessenen Standard an Cybersicherheit (IT & Informationssicherheit) einhalten müssen. Bei Nichteinhaltung drohen Bußgelder, für die eine persönliche Haftung von Führungskräften festgelegt ist.
Die NIS2 Richtlinie ist bis zum Oktober 2024 umzusetzen.
Wichtig: Die Betroffenheit muss selbst ermittelt werden! Es wird hier keine Aufforderung oder Anmerkung von öffentlichen Stellen geben.
Wer ist betroffen?

Energie

Verkehr

Finanzen

Gesundheit

Trinkwasser/ Abwasser

Digitale Infrastruktur, Digitale Anbieter

IKT-Dienstleistungsmanagement

Weltraum

Post- und Kurierdienste

Abfallwirtschaft

Herstellung, Produktion und Vertrieb von Chemikalien

Lebensmittelproduktion, -verarbeitung und – vertrieb

Herstellung, Produktion von Medizinprodukten, Maschinen, Fahrzeugen sowie elektronischen Geräten

Forschung
Was müssen Sie tun?
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Welche Konsequenzen drohen bei Nichteinhaltung?
Für wesentliche Einrichtungen betragen die Bußgelder 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, für wichtige Einrichtungen sind die Bußgelder auf 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes gedeckelt. Es wird bei den Unterscheidungen ob Fixbetrag oder Anteil des Umsatzes der jeweils größere Betrag angesetzt!
Zusätzlich wurde eine persönliche Haftung von Führungskräften eingeführt.
